Información sobre cookies


Josep Aragonés Salvat     21/11/2019



Debido a la modificación de la Ley de Servicios de la Sociedad de la Información (LSSICE) establecida por el Real Decreto 13/2012, de 30 de marzo, es obligatorio obtener el consentimiento expreso del usuario de todos los sitios web que usan
cookies prescindibles, antes de que éste navegue por ellas.

Este documento está actualizado a la guía sobre el uso de las cookies publicada por la AEPD en noviembre de 2019:
Guía sobre el uso de las cookies de la AEPD

1. Qué son las cookies?


Según el art. 22.2 de la LSSI, las cookies y otras tecnologías similares tales como local shared objects, flash cookies, son herramientas empleadas por los servidores Web (emisor) para almacenar y recuperar información de un equipo terminal receptor (persona física o jurídica), así como para ofrecer un correcto funcionamiento del sitio. El considerando 30 del GDPR menciona estas tecnologías y su impacto en la protección de datos.

Mediante el uso de estos dispositivos se permite al servidor Web recordar algunos datos concernientes al usuario, como sus preferencias para la visualización de las páginas de ese servidor, nombre y contraseña, productos que más le interesan, etc.

2. Cookies que precisan consentimiento y cookies exceptuadas


Quedan exceptuadas de obtener el consentimiento informado, según el art. 22.2 de la LSSI, las cookies de carácter técnico y las necesarias para el funcionamiento del sitio web y las de prestación de servicios expresamente solicitados por el usuario, por lo que no sería necesario informar ni obtener el consentimiento sobre su uso.

Aunque no exista obligación, por razones de transparencia, se recomienda informar al usuario, al menos con carácter genérico, de estas cookies ya sea en la política de cookies o en la propia política de privacidad (ejemplo: Este sitio web utiliza cookies que permiten el funcionamiento y la prestación de los servicios ofrecidos en el mismo).

Según el GT29 en su dictamen 4/2012* se interpretan cookies exceptuadas de consentimiento informado las:

  • Cookies de entrada del usuario

Las cookies de sesión y de entrada de usuario se suelen utilizar para rastrear las acciones del usuario al rellenar los formularios en línea en varias páginas, o como cesta de la compra para hacer el seguimiento de los artículos que el usuario ha seleccionado al pulsar un botón.

  • Cookies de autenticación o identificación de usuario (únicamente de sesión)
  • Cookies de seguridad del usuario

P. ej. Las cookies utilizadas para detectar intentos erróneos y reiterados de conexión a un sitio web.

  • Cookies de sesión de reproductor multimedia
  • Cookies de sesión para equilibrar la carga
  • Cookies de personalización de la interfaz de usuario
  • Cookies de complemento (plug-in) para intercambiar contenidos sociales


*En el citado dictamen se observa que para que una cookie pueda estar exenta del consentimiento informado, su caducidad debe estar relacionada con su finalidad. Debido a ello es mucho más probable que se consideren como exceptuadas las cookies de sesión que las persistentes, pero se deberán analizar.

Comentar a este respecto que una misma cookie puede tener más de una finalidad por lo que existe la posibilidad de que para una finalidad quede exceptuada y para otra necesite el consentimiento informado.

3. Qué tipos de cookies existen?


1. Según sea la entidad que gestione el equipo o dominio desde donde se envíen podemos distinguir:

  • Cookies propias: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.

  • Cookies de terceros: son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.
    • En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor, pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.


2. Según el plazo de tiempo que permanecen activadas en el equipo terminal podemos distinguir:

  • Cookies de sesión: son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web. Con o sin consentimiento, en función de su caducidad o finalidad.

  • Cookies persistentes: son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años. Con consentimiento informado.


3. Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

  • Cookies técnicas y funcionales: son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, p. ej., controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos de un pedido, realizar el proceso de compra de un pedido, realizar la inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.Sin consentimiento, recomendable información.

  • Cookies de personalización: cookies funcionales que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como, p. ej., el idioma, el tipo de navegador, la configuración regional desde donde accede al servicio, etc.Sin consentimiento, recomendable información.

  • Cookies publicitarias: cookies funcionales que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.Sin consentimiento, recomendable información.

  • Cookies analíticas: son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.Con consentimiento informado.

*El GT29 manifiesta que, pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus usos y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.
Más información sobre cookies analíticas y para deshabilitarlas:
Política de privacidad de Google y Exclusión de Google Analytics
  • Cookies de publicidad comportamental: recogen información sobre las preferencias y elecciones personales del usuario (retargeting). Son aquéllas que almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo. Con consentimiento informado.
Más información sobre cookies de publicidad:
http://www.lssi.gob.es/Paginas/politica-cookies.aspx
Más información para deshabilitar cookies de publicidad:
Alianza Europea de Publicidad Digital Interactiva
http://www.youronlinechoices.com/es/preferencias/
La European Interactive Digital Advertising Alliance (Alianza Europea de Publicidad Interactiva), es una asociación sin ánimo de lucro (AiSBL) con sede en Bruselas, inscrita en el Registro de Moniteur Belge con el número BE 0846.790.105. El domicilio social se encuentra en Rue des Deux Eglises 26 | B-1000 Bruselas (Bélgica). Para más información, o si tiene cualquier pregunta acerca de los presentes términos y condiciones, le rogamos que se ponga en contacto con la EDAA por correo electrónico: privacy@edaa.eu
También podrá controlar los anuncios y seguimientos de los mismos en Ghostery:
http://www.ghostery.com/
  • Cookies sociales: son establecidas por las plataformas de redes sociales en los servicios para permitirle compartir contenido con sus amigos y redes. Las plataformas de medios sociales tienen la capacidad de rastrear su actividad en línea fuera de los Servicios. Esto puede afectar el contenido y los mensajes que ve en otros servicios que visita.Con o sin consentimiento, en función de su caducidad o finalidad.
Más información sobre cookies de sociales:
Facebook: https://www.facebook.com/policies/cookies/
Google: http://www.google.es/intl/es/policies/privacy/
  • Cookies de afiliados: permiten hacer un seguimiento de las visitas procedentes de otras webs, con las que el sitio web establece un contrato de afiliación (empresas de afiliación). Con consentimiento informado.

  • Cookies de seguridad: almacenan información cifrada para evitar que los datos guardados en ellas sean vulnerables a ataques maliciosos de terceros. Se usan sólo en conexiones HTTPS.Con o sin consentimiento, en función de su caducidad o finalidad.
Más información sobre cookies de seguridad:
https://blogthinkbig.com/que-son-las-cookies
  • Cookies zombie: son las que se recrean a sí mismas después de ser borradas. Las cookies zombis se guardan en el dispositivo y no en el navegador, usualmente con la finalidad de que se pueda acceder a ellas sin importar qué navegador se esté usando y amenazando la privacidad y seguridad del usuario.Con consentimiento informado.

4. Información y comunicación del tratamiento (política de cookies)


La información sobre las cookies facilitada al usuario debe ser suficientemente completa para permitir entender sus finalidades y el uso que se les dará.

Los requisitos para que la política de cookies sea transparente son:

  • La información o la comunicación debe ser concisa, transparente e inteligible, evitando el cansancio informativo.
  • Se ha de utilizar un lenguaje claro y sencillo, evitando el uso de frases que induzcan a confusión o desvirtúen la claridad del mensaje.
  • La información ha de ser de fácil acceso, proporcionando un enlace claramente visible que dirige directamente a la información.

La política de cookies debe contener:

  • Definición y función genérica de las cookies.
  • Información sobre el tipo de cookies que se utilizan y su finalidad.
  • Identificación de quién utiliza las cookies (propias y/o de terceros).
  • Información sobre la forma de aceptar, denegar, revocar el consentimiento o eliminar las cookies.
  • Información obligatoria exigida por el art. 13 GDPR:
    • Identidad y datos de contacto del responsable del tratamiento y del DPO.
    • Legitimación (base jurídica en que se ampara el tratamiento).
    • Fines del tratamiento.
    • Plazo de conservación o criterios que lo determinen.
    • Derechos que asisten al interesado.
    • Destinatarios de los datos (si se prevé o no comunicar o transmitir los datos a terceros).
  • Información específica exigida por el art. 13 GDPR:
    • Cuando exista una transferencia internacional de datos: información sobre la existencia o ausencia de una decisión de adecuación adoptada por la UE o de garantías adecuadas de protección de datos.
    • Cuando exista un mecanismo automatizado de elaboración de perfiles: información significativa sobre la lógica aplicada y las consecuencias previstas para el interesado.
    • Cuando exista un propósito de tratar los datos para otros fines: información sobre estos fines.
    • Cuando exista un requisito legal o contractual para obtener los datos: las consecuencias para el interesado en caso de no facilitarlos.

Para comunicar la información del tratamiento se debe disponer de un enlace accesible y permanente en todo momento a través de la página web a la Política de cookies. Se considerará que se cumple dicho requisito cuando el sistema de gestión de las cookies (panel de configuración, CMP, etc.) esté integrado en la propia política de cookies o cuando se incluya en esta política un enlace que lleve directamente al sistema de gestión.

5. Obtención del consentimiento


Cuando la base legítima para la instalación de cookies se base en el consentimiento del usuario (interesado), se puede disponer de un banner, que se mostrará al acceder al sitio web, con la información básica del tratamiento (1 capa basada en el art. 11 LOPDGDD), con la siguiente información:

  • Identidad del responsable del sitio web:
    • no será necesario facilitar esta información cuando su identidad esté en el aviso legal y además pueda desprenderse de forma evidente del propio sitio web (nombre del dominio, marca publicitada, etc.).

  • Fines del tratamiento:
    • en el caso de querer instalar varias cookies con distintos fines, el banner deberá informar de cada uno de dichos fines.
    • en caso de que se elaboren perfiles de los usuarios (cookies de publicidad comportamental), se facilitará información genérica sobre el tipo de datos que se van a recopilar y utilizar.

  • Propiedad de las cookies:
    • información sobre si las cookies son propias o también de terceros, sin que sea necesario identificar a los terceros en esta 1ª capa.

  • Modo en el que el usuario puede aceptar, configurar y rechazar la utilización de cookies:
    • con la advertencia, en su caso, de que, si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.

  • Enlace claramente visible a la 2ª capa (Política de cookies) con la información completa del tratamiento:
    • el enlace podrá utilizarse para conducir al usuario al panel de configuración de cookies, siempre que el acceso al panel de configuración sea directo, esto es, que el usuario no tenga que navegar dentro de esta 2 capa para localizarlo.


IMPORTANTE: para legitimar un tratamiento basado en el consentimiento, no se deben usar ni instalar las cookies antes que el usuario realice la acción requerida para la obtención del consentimiento o su rechazo. De la misma forma, debe ser tan fácil retirar el consentimiento como haberlo dado (art.7 GDPR).


5.1 PRIMERA CAPA
Ejemplos prácticos de banner (1ª capa) con la información sobre el uso de cookies analíticas y de publicidad comportamental realizado por el propio editor y por terceros (obtenidos de la guía sobre el uso de las cookies de la AEPD):

1. Se obtiene el consentimiento explícito haciendo clic en el botón Aceptar cookies.
Mientras no acepte, el usuario no autoriza el uso de cookies, aunque continúe navegando.
El banner podrá permanecer visible hasta que el usuario acepte o rechace la instalación de las cookies.

COOKIES

Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas).

Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES RECHAZAR COOKIES


2. Como en el ejemplo anterior, si no se pulsa el botón “Aceptar”, el usuario no autoriza el uso de cookies.

COOKIES

Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información.

Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR


3. La modalidad “seguir navegando” es incompatible con los ejemplos 1 y 2, por lo que el ejemplo 3 no será válido si en él además se incluye un mecanismo de aceptación explícita, como casillas o botones de aceptación.

Para que la acción “seguir navegando” pueda considerarse un consentimiento válido, el aviso deberá insertarse en un lugar claramente visible que no pase desapercibido para el usuario y que éste realice una acción que pueda calificarse como una clara acción afirmativa.

COOKIES

Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas).

Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.


Se considera una clara acción afirmativa:

  • Navegar a otra sección del sitio web o clicar en cualquier enlace distinto de la 2ª capa informativa sobre cookies o de la política de privacidad.
  • Utilizar la barra de desplazamiento, siempre y cuando la información sobre las cookies sea visible sin hacer uso de esta.
  • Cerrar el aviso de la 1ª capa (banner).
  • En teléfonos inteligentes o tablet, deslizar la pantalla accediendo al contenido.
  • Previa información al usuario del significado de una acción concreta suficientemente inequívoca:
    • Saludar con la mano ante una cámara inteligente.
    • Hacer girar un teléfono inteligente en el sentido de las agujas del reloj.
    • Mover un teléfono inteligente haciendo la forma de un ocho.
    • Determinados movimientos del ratón.
    • Pulsación de teclas concretas.

No se considera una clara acción afirmativa:

  • El mero hecho de permanecer visualizando la pantalla.
  • Mover el ratón.
  • Pulsar una tecla del teclado.

Este ejemplo no podrá utilizarse para tratamientos que requieran un consentimiento explícito de los usuarios. En todo caso, deberían analizarse las cookies utilizadas para así adaptar la información a cada situación particular.



5.2 PANEL DE CONFIGURACIÓN PARA ACEPTAR O RECHAZAR LAS COOKIES

La información de la 1ª capa debe completarse con un panel en el que el usuario pueda optar entre aceptar o rechazar las cookies en la 1ª capa (banner), o un enlace que conduzca a dicho panel en la 2ª capa (política de cookies). También podrá utilizarse plataformas externas de gestión del consentimiento (Consent Management Platform o CMP).

En el panel de configuración se recomienda agrupar las cookies por su finalidad y, dentro de esta, si es el caso, en función del tercero que las utiliza, para que el usuario pueda aceptar o rechazar grupos de cookies en vez hacerlo una a una, así se evitará ofrecer un exceso de información que dificulte la toma de decisiones.

Los usuarios deberán poder retirar el consentimiento previamente otorgado en cualquier momento. Para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo, en el panel de configuración podrán implementarse dos botones, uno para aceptar todas las cookies y otro para rechazarlas. Si se utiliza la modalidad “seguir navegando”, deberá incluir un botón para rechazar todas las cookies.

Ejemplos prácticos del panel de configuración para aceptar o rechazar el uso de cookies analíticas y de publicidad comportamental realizado por el propio editor y por terceros:


1. Panel de configuración ubicado en la 1ª capa (banner)

El banner podrá permanecer visible hasta que el usuario acepte la instalación de las cookies.

COOKIES

Esta web solo instalará cookies analíticas si usted lo acepta expresamente.

Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.

Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies
ACEPTO

COOKIES

Esta web solo instalará cookies analíticas y de publicidad comportamental si usted lo acepta expresamente.

Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.

Las cookies Doubleclick son propiedad de Google Inc. y sirven para mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas).

Podrá revocar este consentimiento, obtener más información e informarse de sus derechos en la Política de cookies
ACEPTAR LAS COOKIES SELECCIONADAS


2. Panel de configuración ubicado en la 2ª capa (Política de cookies)

PANEL DE CONFIGURACIÓN DE COOKIES
Usted puede aceptar o rechazar el uso de cookies agrupadas por sus finalidades, y si es el caso, en función del tercero que las utiliza:

Cookies analíticas
Las cookies _ga son propiedad de Google Analytics y sirven para mejorar nuestros servicios mediante el análisis de sus hábitos de navegación.
Nombre Finalidad Plazo Observaciones
_ga Habilita la función de control de visitas únicas. La primera vez que un usuario entre en el sitio web a través de un navegador se instalará esta cookie. Cuando este usuario vuelva a entrar en la web con el mismo navegador, la cookie considerará que es el mismo usuario. Solo en el caso de que el usuario cambie de navegador, se considerará otro usuario 2 años Persistente
_gid Se utiliza para distinguir a los usuarios 24 horas Sesión
_gat Se utiliza para limitar la velocidad de petición - la limitación de la recogida de datos en los sitios de alto tráfico 10 min. Sesión


Cookies de publicidad comportamental
Las cookies Doubleclick son propiedad de Google Inc. y sirven para mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas).
Nombre Finalidad Plazo Observaciones
_sonar Se utiliza para mejorar y orientar la publicidad según el contenido que es relevante para un usuario, mejorar los informes de rendimiento de la campaña y evitar mostrar anuncios que el usuario ya haya visto Doubleclick.net 1 año Persistente
_gads Cookie asociada al servicio de Doubleclick.net de Google para que el dueño pueda ganar crédito 1 año Persistente
_ncuid Se utiliza para medir el rendimiento de los anuncios y proporcionar recomendaciones relativas a productos basadas en datos estadísticos 6 meses Persistente
IDE Se utiliza para limitar la velocidad de petición - la limitación de la recogida de datos en los sitios de alto tráfico 10 minutos Sesión


3. Información sobre proveedores externos del sitio web

COOKIES DE TERCEROS

Algunas de nuestras páginas del sitio web muestran contenido de proveedores externos, como YouTube, Facebook, Twitter, Linkedin, etc.

Para acceder a los contenidos de terceros, los usuarios deben aceptar previamente las condiciones que estos aplican (entre las que se incluyen sus políticas de cookies, ajenas a nuestro control).

Si los usuarios optan por no acceder a esos contenidos, estas cookies de terceros no se instalan en sus dispositivos.

Proveedores externos de este sitio web:
YouTube
Facebook
Twitter
LinkedIn

Los servicios de terceros son ajenos al control del editor. Los proveedores pueden modificar en todo momento sus condiciones de servicio, finalidad y utilización de las cookies, etc.


También se puede hacer directamente desde la configuración el dispositivo:

COOKIES DE TERCEROS

Eliminar las cookies del dispositivo

Las cookies que ya están en un dispositivo se pueden eliminar borrando el historial del navegador, con lo que se suprimen las cookies de todos los sitios web visitados.
Sin embargo, también se puede perder parte de la información guardada (por ejemplo, los datos de inicio de sesión o las preferencias de sitio web).

Gestionar las cookies específicas del sitio

Para tener un control más preciso de las cookies específicas de cada sitio, los usuarios pueden ajustar su configuración de privacidad y cookies en el navegador.

Bloquear las cookies

Aunque la mayoría de los navegadores modernos se pueden configurar para evitar que se instalen cookies en los dispositivos, eso puede obligar al ajuste manual de determinadas preferencias cada vez que se visite un sitio o página.
Además, algunos servicios y características pueden no funcionar correctamente (por ejemplo, los inicios de sesión con perfil).


4. Información sobre plataformas externas de gestión del consentimiento (Consent Management Platform o CMP).

Puede consultarse la lista de CMP registrados en https://advertisingconsent.eu/cmp-list/

Todos los CMP de esta lista han superado las verificaciones de cumplimiento requeridas por el Programa de cumplimiento de CMP de IAB Europe.

Los CMP que no están en esta lista no están registrados con el TCF o no cumplen.

Esta lista se actualiza diariamente. Los más utilizados son Quantcast y Cookiebot.

PLATAFORMA DE GESTIÓN DEL CONSENTIMIENTO (CMP)

Los usuarios puedengestionar/eliminarlas cookies desde la plataforma COOKIEBOT: cookiebot.mgr.consensu.org

6. Normativa relacionada


Artículo 22.2 LSSI. Derechos de los destinatarios de servicios.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.


Considerando 30 GDPR


Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.